A hackelés gyakran olyan, mintha egy táskában turkálnánk anélkül, hogy belenéznénk. Ha az Ön táskája, akkor tudja, hol keressen, és milyen érzés a tárgyak. Másodpercek alatt benyúlhat és megragadhat egy tollat, míg egy másik személy megragadhat egy szemceruzát.
Mi több, felhajtást okozhatnak a keresésben. Tovább repülnek a táskán, mint te, és az általuk keltett zaj növeli annak esélyét, hogy meghallja őket. Ha nem tetted, a táskádban lévő rendellenesség azt jelzi, hogy valaki átment a dolgaidon. A megtévesztés technológia így működik.
Mi az a megtévesztés technológia?
A megtévesztéstechnológia a taktika, az eszközök és a csali eszközök összességére utal, amelyeket a kék csapatok arra használnak, hogy elvonják a támadók figyelmét az értékes biztonsági eszközökről. Első pillantásra a csali helye és tulajdonságai jogosnak tűnnek. Valójában a csalinak elég vonzónak kell lennie ahhoz, hogy a támadó elég értékesnek tartsa ahhoz, hogy kapcsolatba lépjen vele.
A támadó csalikkal való interakciója biztonsági környezetben olyan adatokat generál, amelyek betekintést engednek a védőknek a támadás mögött meghúzódó emberi elembe. Az interakció segíthet a védőknek megtudni, mit akar a támadó, és hogyan tervezik azt elérni.
Miért használnak a Blue Teams megtévesztő technológiát?
Egyetlen technológia sem legyőzhetetlen, ezért a biztonsági csapatok alapértelmezés szerint feltételezik a jogsértést. A kiberbiztonság nagy része azon múlik, hogy megtudjuk, mely eszközök vagy felhasználók kerültek veszélybe, és hogyan lehet azokat visszaállítani. Ehhez a kék csapat kezelőinek ismerniük kell az általuk védett biztonsági környezet mértékét és az adott környezetben lévő eszközöket. A megtévesztés technológia az egyik ilyen védelmi intézkedés.
Ne feledje, a megtévesztő technológia lényege, hogy rávegye a támadókat, hogy interakcióba lépjenek csalikkal, és elvonják a figyelmüket az értékes eszközökről. Miért? Minden az időre dől. Az idő értékes a kiberbiztonságban, és sem a támadónak, sem a védőnek nincs elég. A csalival való interakció elpazarolja a támadó idejét, és több ideje marad a védőnek a fenyegetésre való reagálásra.
Pontosabban, ha egy támadó úgy gondolja, hogy a csali eszköz, amellyel kapcsolatba került, az igazi, akkor nincs értelme kint maradni. Kiszűrik az ellopott adatokat, és (általában) elmennek. Másrészt, ha egy hozzáértő támadó gyorsan rájön, hogy az eszköz hamis, akkor tudni fogja, hogy kiderült, és nem maradhat sokáig a hálózaton. Akárhogy is, a támadó időt veszít, a biztonsági csapat pedig figyelmeztetést és több időt kap a fenyegetésekre való reagálásra.
Hogyan működik a megtévesztés technológia
A megtévesztési technológia nagy része automatizált. A csali eszköz általában értékes adatok a hackerek számára: adatbázisok, hitelesítő adatok, szerverek és fájlok. Ezek az eszközök ugyanúgy néznek ki és működnek, mint a valódiak, néha akár valódi eszközök mellett is működnek.
A fő különbség az, hogy dögök. Például a csali-adatbázisok hamis adminisztrátori felhasználóneveket és jelszavakat tartalmazhatnak csaliszerverhez kapcsolva. Ez azt jelenti, hogy a csaliszerveren – vagy akár egy valódi szerveren – egy pár felhasználónévvel és jelszóval kapcsolatos tevékenységek blokkolásra kerülnek. Hasonlóképpen, a csali hitelesítő adatok hamis tokeneket, kivonatokat vagy Kerberos jegyeket tartalmaznak, amelyek a hackert alapvetően egy homokozóba irányítják.
Ezen túlmenően, a biztonsági csapatok figyelmeztetik a gyanúsítottat. Amikor egy támadó bejelentkezik például egy csalikiszolgálóra, a tevékenység figyelmezteti a biztonsági műveleti központ (SOC) kék csapatának kezelőit. Eközben a rendszer továbbra is rögzíti a támadó tevékenységeit, például azt, hogy milyen fájlokhoz fértek hozzá (pl. hitelesítő adatlopó támadások) és hogyan hajtották végre a támadást (pl. oldalirányú mozgás és emberközép támadások).
In the Morning Glad I See; Az ellenségem kinyújtva a fa alatt
Egy jól konfigurált megtévesztő rendszer minimálisra csökkentheti a támadók által az Ön biztonsági eszközeiben okozott károkat, vagy akár egyenesen leállíthatja azokat. És mivel nagy része automatizált, nem kell éjjel-nappal öntözni és napozni azt a fát. Telepítheti, és az SOC-erőforrásokat olyan biztonsági intézkedésekre irányíthatja, amelyek gyakorlatiasabb megközelítést igényelnek.